|
Plagegeister aller Art und deren Bekämpfung: Nach Bundespolizei jetzt Gema UKASHWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.12.2011, 16:25 | #1 |
| Nach Bundespolizei jetzt Gema UKASH Hallo zusammen, erstmal Asche über mein Haupt. Warum nicht sofort gründlich arbeiten. Aber von Anfang an: Vor ca. 3 Wochen war der Laptop eines Bekannten mit dem Bundespolizei-UKASH-Virus befallen. Diesen habe ich dann "nur" dem "Avira-DE-Cleaner" beseitigt, so meinte ich auf jeden Fall. Nun gibts die allseits bekannte Gema-Warnung. Das Betriebssystem ist Windows Vista, mit dem ich mich leider nicht gut auskenne. OTL-Scan ist gelaufen und die Dateien hängen an. Edit: kein Homebanking oder ähnliche Aktivitäten |
13.12.2011, 16:32 | #2 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH hi
__________________achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL O4 - HKCU..\Run: [Doapi] C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe () [2011.11.24 01:41:46 | 000,000,861 | ---- | M] () -- C:\Users\Lothar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wpbt0.dll.lnk :Files C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
13.12.2011, 17:08 | #3 |
| Nach Bundespolizei jetzt Gema UKASH Hallo,
__________________hat leider etwas gedauert, wegen Problemen vor dem Monitor, hat aber dann doch alles geklappt. Textdatei: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Doapi deleted successfully. C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe moved successfully. C:\Users\Lothar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wpbt0.dll.lnk moved successfully. ========== FILES ========== File\Folder C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User: Default User User: Internet User: Lothar ->Flash cache emptied: 8113342 bytes User: Public User: Renate ->Flash cache emptied: 729 bytes Total Flash Files Cleaned = 8,00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Internet ->Temp folder emptied: 647359 bytes ->Temporary Internet Files folder emptied: 3584505 bytes ->FireFox cache emptied: 444943 bytes User: Lothar ->Temp folder emptied: 270975 bytes ->Temporary Internet Files folder emptied: 688664 bytes ->Java cache emptied: 38083485 bytes ->FireFox cache emptied: 52115829 bytes ->Flash cache emptied: 0 bytes User: Public User: Renate ->Temp folder emptied: 163840 bytes ->Temporary Internet Files folder emptied: 49286 bytes ->Java cache emptied: 7140 bytes ->FireFox cache emptied: 42381656 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 709968 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 778 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 133,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 12132011_164950 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Hochgeladen ist auch alles. Und schon mal schönen Dank! |
13.12.2011, 17:09 | #4 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH ok danke für den upload. falls es geklappt hatt: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.12.2011, 17:23 | #5 |
| Nach Bundespolizei jetzt Gema UKASH Hallo, kurze Fehlermeldung von Combofix im blauen Fenster die 2x erschien: "Failed to get LVA ...." War leider zu schnell weg um es richtig zu lesen. Nun scheint aber alles wie beschrieben zu laufen. |
13.12.2011, 17:26 | #6 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH ok danke für die info
__________________ --> Nach Bundespolizei jetzt Gema UKASH |
13.12.2011, 18:24 | #7 |
| Nach Bundespolizei jetzt Gema UKASH Das war aber gründlich Die Meldung lautet übrigens: "Failed to get Data for 'EnableLVA' und kam nach Schritt 38 noch einmal. Anbei die TXT-Datei |
13.12.2011, 18:44 | #8 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH öffne Malwarebytes logdateien, alle logs posten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.12.2011, 18:56 | #9 |
| Nach Bundespolizei jetzt Gema UKASH Hallo, anbei die MBAM-Logs. Edit: Der Suchlauf von heute Nachmittag wurde abgebrochen. |
13.12.2011, 19:00 | #10 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH hi dieses system ist ja nicht zum ersten mal infiziert und hat auch schon malware die daten klaut. dieses system ist zusätzlich sehr schlecht gewartet, noch nie weiter updates gesehen etc. eigendlich wäre es sinnvoller hier mal nen schnitt und nen neuanfang mit vernünftiger absicherung zu machen vor allem da dies genauso viel zeit kostet, wenn sogar weniger, als das aufspüren und dann das absichern danach dauern würde. deaktiviere autorun: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de sichere bilder dokumente musik filme, extern. dann erkläre ich dir, falls nötig, wie man das system formatiert. dann wie man es absichert. danach müssen alle passwörter geendert werden
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.12.2011, 19:04 | #11 |
| Nach Bundespolizei jetzt Gema UKASH Genau das ist das Problem, welches sehr privat wird. Darf ich eine PN schicken? Edit: Danach gehts öffentlich weiter. |
13.12.2011, 19:11 | #12 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH mal sehen, wenn du mir von ner illegalen windows version erzehlen willst ist das was ihr da macht schön dämlich und der suport ist zu ende. kauft euch legale windows versionen oder nutzt linux.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.12.2011, 19:17 | #13 |
| Nach Bundespolizei jetzt Gema UKASH Nein, alles legal, soweit ich weiß. Das Windows auf jedenfall, und die Software die ich installiert habe auch. Ich möchte nur keine Details über Bekannte im Netz verbreiten. |
13.12.2011, 19:19 | #14 |
/// Malware-holic | Nach Bundespolizei jetzt Gema UKASH na dann sende mal was du sagen willst :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.12.2011, 19:30 | #15 |
| Nach Bundespolizei jetzt Gema UKASH Ist geschehen. |
Themen zu Nach Bundespolizei jetzt Gema UKASH |
anfang, bekannte, beseitigt, betriebssystem, bundespolizei, dateien, gelaufen, gema ukash, gen, hallo zusammen, hänge, hängen, laptop, sofort, ukash, vista, windows, windows vista, woche, wochen, zusammen |